مهم‌ترین مسائل امنیت سایبری در کنفرانس Black Hat

به گزارش کارگروه بین‌الملل سایبربان؛ به گفته متخصصان سایبری، با توجه حمله هکری روی «Equifax» و بیانیه صادر شده از سوی این شرکت، امنیت سایبری هنوز به عنوان یکی از اصلی‌ترین مسائل مطرح می‌شود. چندی پیش، جامعه امنیت سایبری در کنفرانس «Black Hat» و «DEF CON» گردهم آمدند تا درمورد تعامل بهتر با آسیب‌پذیری‌های امنیتی و بهبود پیشگیری، شناسایی و واکنش در مورد تهدید بحث کنند. جان اولتزیک (Jon Oltsik)، تحلیلگر ارشد « ESG» و مؤسس خدمات امنیت سایبری شرکت در این خصوص مقاله‌ای نوشته که به شرح زیر است :

پلتفرم‌های امنیتی شبکه

وقتی اسباب و وسائل از کارافتاده نباشند، امنیت شبکه فراتر از بازرسی بسته حاشیه‌ای از ترافیک ورودی / خروجی خواهد بود. این مسئله، ورود به یک سرویس گسترده، بازرسی و تصفیه ترافیک در مراکز داده‌های فیزیکی، سرورهای مجازی و بارهای مبتنی بر ابر از همه نوع را دربردارد. در حوزه مدیریت مرکزی و قانون توزیع شده، فروشندگانی مانند «Check Point»، سیسکو (Cisco)، «Forcepoint»، فورتینت (Fortinet)، جونیپر (Juniper) و شبکه‌های پالو آلتو (Palo Alto) حضور دارند و در حال نوآوری در این مسیر هستند. در اینجا سؤالاتی از این قبیل مطرح می‌شوند : آنها چقدر با موضوع فاصله دارند؟ آیا مشتریان خرید می‌کنند یا همچنان به دنبال انواع بهترین فن‌آوری‌های امنیتی شبکه هستند؟ این سؤالات هر هفته در کنفرانس وگاس پرسیده می‌شوند.

تثبیت امنیت نهایی؟

ابزارهای امنیت نهایی مانند امنیت شبکه روند مشابهی را پشت سر می‌گذارند. فروشندگان پلتفرم حفاظت نهایی (EPP) در حال ادغام قابلیت‌های نقطه پایانی خود در پلتفرم‌های توانمندتر و گسترش کارآمدی در نواحی مانند : پوشش دستگاه، مدیریت دارایی و شناسایی و واکنش نهایی (EDR) هستند.

از آنجا که بسیاری از فروشندگان پلتفرم حفاظت نهایی برای متفاوت جلوه دادن خودشان از نوآوری استفاده می‌کنند، مشخصات این پلتفرم به‌سرعت در حال تغییر است. فروشندگان پیشرو در ارائه قابلیت‌های پیشگیری، شناسایی و پاسخ‌دهی چندلایه، یکپارچه و ابری با سرویس‌‎های تشخیص و پاسخگویی مدیریت شده (MDR) ادغام می‌شوند؛ اما خدمات و قابلیت‌های جدید به‌سرعت در حال ظهور هستند. ما به دنبال اعلامیه‌های جدید در مورد ادغام‌های عمیق‌تر با دیگر ابزارهای امنیتی، قابلیت‌های جدید برای محافظت از بارهای ابری، تلفن همراه و اینترنت اشیا و توانایی‌های گسترده مدیریت ریسک خواهیم بود.

تشخیص و پاسخ مدیریت شده – همه چیز در مورد مردم

کمبود مهارت‌های امنیت سایبری همچنان بر تصمیمات اتخاذ شده از سوی افسران ارشد اطلاعاتی تأثیر می‌گذارد. دراین خصوص، شناسایی و واکنش به تهدیداتی نظیر باج‌افزار، فیشینگ و سوءاستفاده مدنظر هستند. در حال حاضر، بسیاری از گفتمان‌های پیرامون تشخیص تهدید، بر ترکیب هوش تهدید، هوش مصنوعی و یادگیری ماشینی (AI/ML) در محصولات تمرکز دارند، اما تمام اطلاعات تهدید در جهان و بهترین یادگیری ماشینی باعث کاهش یا تسریع شناسایی تهدید به تنهایی نمی‌شوند. انسان‌ها می‌توانند استدلال، رفتارهای غیرعادی غیرآشکار در دستگاه‌ها را مشاهده و مغزهای فناوری را برای اقدامات تشخیصی و پاسخ‌دهی در آینده برنامه‌ریزی كنند.

ارائه دهندگان خدمات همچنین می‌توانند با همکاری کارمندان امنیت سایبری، اهداف دشمن را به شیوه‌ای ترسیم کنند که تفکر و پاسخ ما را ساختاربندی می‌کند؛

درنهایت، انسان‌ها باید انسان‌های دیگر را مدیریت کنند؛ در این حالت، متخصصان امنیت سایبری سازمانی باید از ساختار و مهارت‌های مناسب برای مدیریت مؤثر ارائه دهندگان شخص ثالث تشخیص و پاسخگویی مدیریت شده برخوردار باشند.

امنیت بدون سرور – مرز جدید

عملکردهای بدون سرور یا عملکرد به عنوان سرویس (FaaS) مانند : «AWS Lambda»، عملکردهای «Microsoft Azure» و «Google Cloud» در حال تبدیل شدن به اجزای شایع برنامه‌های بومی ابری مدرن هستند که روی معماری خدمات میکرو ساخته شده‌اند. از آنجا که فاقد سرور بودن یک مفهوم انتزاعی است، رویکردهای امنیتی و مدل تهدید متصل مبهم هستند.

مسئله متفاوت در مورد فاقد سرور این است که بیشتر مسئولیت امنیتی را به سمت 2 طرف می‌کشاند : ارائه دهنده خدمات ابری خارجی (CSP) و توسعه دهنده داخلی. درنتیجه، مدل مسئولیت اشتراکی را تغییر می‌دهد؛ جایی که ارائه دهندگان خدمات ابری برای اطمینان از عملکردهای درست موارد سرور به‌صورت موقتی گرفتار می‌شوند. مشتریان این خدمات، با دسترسی غیابی به یک شبکه یا قابلیت برای نصب عامل نیاز به دید و کنترل استفاده از توابع بدون سرور را دارند. با تغییر به سمت مرحله پیشرفته، تیم‌ها باید به‌صورت مداوم تماس‌های «API» را در کد منبع کشف و نحوه استفاده از آنها در زمان ساخت را ارزیابی کنند. (به عنوان مثال، با توجه به احراز هویت، مجوز، رمزگذاری داده‌های در حال حرکت و موارد دیگر)

ورود به سیستم ردیابی ممیزی از فعالیت سرویس به سرویس و استفاده از برنامه خودمحافظ زمان اجرا (RASP)، حلقه حفاظت از کل چرخه ای‌پی‌آی بدون سرور را مسدود می‌کند. آیا متخصصان امنیت سایبری و فناوری‌های امنیتی این موضوع را درک می‌کنند؟ دراین خصوص باید سری به بحث‌های مطرح شده در کنفرانس Black Hat بزنیم.

نوآوری و سردرگمی تجزیه و تحلیل‌های امنیتی

چند سال پیش، تجزیه و تحلیل‌های امنیتی مترادف با اطلاعات امنیتی و مدیریت رویداد (SIEM) بودند. اما دیگر اینطور نیست. تجزیه و تحلیل‌های امنیتی اکنون شامل نواحی مانند : تجزیه و تحلیل ترافیک شبکه (NTA)، انبوهی از داده‎های امنیتی، «UEBA» و پلتفرم‌های اطلاعات تهدید (TIPs) هستند. افسران ارشد اطلاعاتی دانا با بسیاری از این موارد سر و کار دارند، اما در عین حال به دنبال همکاری تجزیه و تحلیل‌های امنیتی و تعامل و تکمیل فناوری‌ها و همچنین اضافه کردن ارزش‌ها به یکدیگر هستند. در حالیکه این تحلیل‌ها داده‌های با اطمینان بالا (مانند : هشدارها، امتیازات ریسک و غیره) ارائه می‌دهند، سازمان‌ها به دنبال استفاده از آنها از طریق پلتفرم‌های عملیات‌‎های امنیتی هستند.

این جوهره «ESG’s SOAPA» است؛ (یعنی معماری پلتفرم تحلیلی و عملیات‌های امنیتی) سرمایه‌گذاری و نوآوری فوق‌العاده‌ای در این زمینه وجود دارد، اما کاربران با سرعت تغییر و اغراق در بازار گیج شده‌اند. آیا آنها با یک فروشگاه بزرگ مانند آی‌بی‌ام (IBM) یا «Splunk» رودرو می‌شوند؟ آیا آنها از نرم‌افزارهای منبع باز مانند : «BRO/Zeek»، دسته «ELK» یا «Hadoop» استفاده می‌کنند؟ آیا آنها SOAPA را در محوطه مستقر می‌کنند یا به دنبال جایگزینی ابری از امثال دوو (Devo)، گوگل (Chronicle/Backstory) مایکروسافت (Azure Sentinel) یا «SumoLogic» هستند؟

در پایان کنفرانس Black Hat، من احساس کردم که به درجه بالاتری در حوزه امنیت سایبری دست یافته‌ام؛ امنیت سایبری یک فعالیت جمعی است.»